DS-Lite und Prefix

Alle technischen Themen, Fragen und Diskussionen, für die wir kein Spezialforum haben, passen hier rein.
Benutzeravatar
MVillage68
Member
Member
Beiträge: 37
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

DS-Lite und Prefix

Beitrag von MVillage68 » 11. Jun 2017 12:05

Hallo zusammen,

da es langsam wirklich Zeit wird sich intensiver mit IPv6 zu beschäftigen kommt mir auch erstmal ein DS-Lite recht. Mein OpenWRT Router mit 14.07 bietet eine Palette an IPv6 Möglichkeiten. Vermutlich liefert WT einen /64 Präfix an, den man dann als Subnet verwenden kann und die Firewall in OpenWRT sichert das ganze ab.
Wie sich das DS-Lite dann mit Steam und Online Games verträgt gilt es heraus zu finden, so langsam sollten auch diese mal IPv6 fähig sein so das der limitierte IPv4 Teil gar nicht mehr so relevant sein sollte.

Ist noch jemand mit einer OpenWRT Maschine hier?

Grüße
MVillage68

Mydgard
Member
Member
Beiträge: 126
Registriert: 8. Nov 2016 02:26
Wohnort: HH (Willy-tel)

Re: DS-Lite und Prefix

Beitrag von Mydgard » 12. Jun 2017 04:26

Bei Willy-tel ist es ein /56er Subnet, gehe mal davon aus, das das bei WT genauso ist.

Afaik macht DS Lite nur Probleme, insofern Du von außen auf dein Netz zugreifen willst ... das läuft meistens noch mit IPv4 und das geht dann nicht ...

GrummelGrumpff
Member
Member
Beiträge: 78
Registriert: 22. Feb 2016 12:56

Re: DS-Lite und Prefix

Beitrag von GrummelGrumpff » 12. Jun 2017 19:35

Ich nutze OpenWRT oder besser LEDE an einem Dualstack Anschluss.
IPv6 funktioniert zwar ich nutze im Alltag aber IPv4, weshalb ich über die Stabilität gar nichts sagen kann.
Ich hatte das Problem der fehlenden Router-Solicitation-Packete
Ausserdem ist der Zugriff von einem reinem IPv4 Netz auf das eigene IPv6 ziemlich kompliziert,
bzw ich kenn noch kein Weg der entweder extra kostet weil man ein Server anmieten müsste, oder nicht auf einem (älterem) Android funktioniert wie zum Bsp. die Nutzung eines Teredo-Clienten.
(Siehe hier: viewtopic.php?f=11&t=9312)

Für mich macht es erst eigendlich erst Sinn IPv6 zu nutzen wenn ich:
1. Das Problem mit dem Handyzugriff gelöst hätte.
2. Ein Weg finde IPv4 intern abzuschalten und trotzdem Zugriff auf das IPv4 internet bekommen könnte.
Dies würde zwar mit dem Programm TAYGA (eine standalone NAT64) gehen welches auch für OpenWRT verfügbar ist,
allerdings sollte sich jeder selbst die Frage beantworten können ob es wirklich eine gute Idee ist eine Programm welches mit rootrechten betrieben werden muss und seit 2011 nicht mehr weiter entwickelt wird, direkt mit dem Internet zu verbinden.

Gibt es eigentlich eine möglichkeit NAT64 mit dem Paketfilter des Linuxkernels zu machen ?

Ansonsten ist IPv6 in den neueren OpenWRT/LEDE Versionen recht unproblematisch, warum nutzt du aber so eine veraltete Version ?
Möglicherweise sind hier viele Dinge anders.

Benutzeravatar
MVillage68
Member
Member
Beiträge: 37
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

Re: DS-Lite und Prefix

Beitrag von MVillage68 » 15. Jun 2017 17:23

Habe meinen TP-Link nun auf Chaos Chalmer aktualisiert, worin es radvdv nicht mehr gibt. Bin gespannt wie das kommenden Montag los läuft und was selber nachgebogen werden muss. Meine Planungen ist ein Subnet wo die Firewall dann den Kontakt vom außen her unterbindet. Der dhcpd6 kann an die MAC des Gaming PC eine bestimmte IP binden, so das die Firewall dann auch echte offene Ports für Games erlaubt, wenn deren Anbieter spielen auf IPv6 schon auf dem Kasten haben.
Im ganzen glaube ich das IPv6 rundum von allen Seiten blockiert und unterdrückt wird :O Der größte Witz sind diese gehypten IPv6 Aktionstage wo alle greifbaren Admins morgens das Netz für IPv6 klar machen und zu Feierabend dann wieder auf IPv4 zurück stellen.

Beim Zugriff per Handy würde ich beinahe auf LineageOS zeigen, aber die Mobilfunkanbieter bremsen auch meist iPv6 aus und bieten plain IPv4 an. Meines zeigt auch nur eine fe80: für WLAN die nicht vom Router gekommen ist.

Über Lösungen mit NAT64 habe ich auch nachgedacht, fand aber auch nur Lösungen mit TAYGA als uralte Erweiterung die mir ebenso nicht schmeckt. Eigentlich will ich ja native IPv6 haben damit soviel wie irgend möglich diese neue Methode auch benutzt.

GrummelGrumpff
Member
Member
Beiträge: 78
Registriert: 22. Feb 2016 12:56

Re: DS-Lite und Prefix

Beitrag von GrummelGrumpff » 17. Jun 2017 04:23

Chaos Calmer ist auch von 2015, Ich würde immer das neueste (17.01.2) LEDE realease nehmen.
Im ganzen glaube ich das IPv6 rundum von allen Seiten blockiert und unterdrückt wird.
Ich glaube die Gründe weshalb sich IPv6 nicht durchsetzt sind eher:
- Mangelnde IP-Kompetens in der Bevölkerung (es fragt auch keiner nach IPv6.)
- der Umstand das IPv6 im Prinzip ein völlig neues und zu IPv4 inkompatibles Protokoll ist welches wesentlich komplexer ist und ausser dem Killerfeature der vielen Addressen eigendlich nur Nachteile (wie zum Bsp. mangelden Datenschutz) mit sich bringt.

Ich habe auch ca 1 mal im Jahr meine IPv6 Aktionstage bei den Ich versuche auf IPv6 umzustellen, bzw versuche verschiedene Möglichkeiten auzubrobieren.
Diese "Aktionstage" enden bei mir aber regelmässig damit das ich den Entwicklern von IPv6 schlimme Dinge an den Hals wünsche.:evil:

Mittlerweile bin ich mir nicht mal sicher ob sich IPv6 jemals durchsetzt.
Die Zahlen sprechen jedenfalls für sich:
Seit 1998 ist IPv6 der offizielle Nachfolger von IPv4 also seit ca 19 Jahren.
Seit 2011 hat die IANA keine IPv4 Adressen mehr also seit ca 6 Jahren.
Und trotzdem hat sich IPv6 bis heute nicht durchgesetz, per IPv4 lassen sich eigendlich alle Webseiten/Dienste erreichen.
Via IPv6 gefühlt nur 30%.

Ich bin jedenfalls sehr froh das WT IPv6 anbietet und ich Dualstack habe.
Eigentlich will ich ja native IPv6 haben damit soviel wie irgend möglich diese neue Methode auch benutzt.
Schon da hat man selber aber kein Einfluss drauf und ich würde am liebsten IPv4 intern abschalten, da ich nicht die geringste lust habe 2 Protokolle zu managen.
Das ganze macht vermutlich erst dann Sinn wenn sämtliche mobilfunk Provider IPv6 anbieten,
Im moment schleppe ich daher IPv6 eher versuchsweise mit rum.

Benutzeravatar
MVillage68
Member
Member
Beiträge: 37
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

Re: DS-Lite und Prefix

Beitrag von MVillage68 » 18. Jun 2017 13:49

Habe mir auch LEDE schon angesehen, aber für meinen Router gibt es nur ein Update per factory Image das dann alle Einstellungen verheizt. Vielleicht schafft es noch jemand mit sysupgrade und Übernahme aller Daten, denn so klein ist das Setup mit 2 WLan, QoS und einigen statischen Adressen nicht.

Musste gerade erstmal testen ob mein GS-105E für die AV Geräte der Stube überhaupt IPv6 switcht, aber zum Glück kann er das schon.

Die allgemeine IPv6 Blockade wird noch abstruser, weil IoT zunimmt und man eben mal alle PKW und Parkplätze per Mobilfunk anbinden will, das muss nach V6 migriert werden. Die zunehmenden Hausgeräte mit Netzanbindung schreien auch alle nach Adressen, da wird bald die Fußwaage nicht mehr ihre App im Handy erreichen weil das V4 Subnetz ein anderes ist.

Bei Anbietern von Online Games ist V6 überhaupt noch kein Thema, zum Glück habe ich im Moment nur eines im Alphastatus das sowieso noch unbenutzbar ist.

Mit vielen Stunden suchen, habe ich heraus gefunden wie man statische V6 Adressen vergibt um Geräte wie NAS, Netzwerkdrucker und Gamingrechner notfalls auch einen Port von außen durch die Firewall zu erlauben. Das ganze ist ein Henne - Ei Problem, was schon die 19 Jahre existiert. Bin gespannt wie das Montag nach Installation der Fritte der TP-Link dann anbietet.

Der Dualstack bleibt ja immer noch als letzte Option.

Viele Grüße
MVillage68

Mydgard
Member
Member
Beiträge: 126
Registriert: 8. Nov 2016 02:26
Wohnort: HH (Willy-tel)

Re: DS-Lite und Prefix

Beitrag von Mydgard » 19. Jun 2017 03:14

@MVillage68 Also kann man auch mit IPv6 irgendwie eine Art Portforwarding einrichten? Dachte das ist immer das Hauptproblem, weil alle die von Extern auf die eigenen Geräte zugreifen wollen, brauchen zwingend IPv4?

Benutzeravatar
burnz
Member
Member
Beiträge: 168
Registriert: 8. Nov 2016 00:02
Wohnort: Hamburg

Re: DS-Lite und Prefix

Beitrag von burnz » 19. Jun 2017 09:49

Das ist nur solange ein Problem, solange der andere Anschluss kein IPv6 hat..
Die fritzbox unterstützt leider noch immer kein IPv6 VPN und schon gar kein IPv4 oder IPv6 Tunnel innerhalb des VPN :(

Benutzeravatar
MVillage68
Member
Member
Beiträge: 37
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

Re: DS-Lite und Prefix

Beitrag von MVillage68 » 19. Jun 2017 19:29

Edit: Der Anschluss läuft und ist nur plain IPv4, wobei die IP Adresse ein /21 dran hängen hat und nicht vollwertig aussieht. Ich hoffe WT kriegt es bald gewuppt wirklich IPv6 in irgendeiner Weise anzubieten.

Portforward mit IPv6 ist sozusagen dass man per dhcpv6 oder dem ohcpd einem Zielgerät immer die gleiche IPv6 statisch zuweist und dann in der Firewall das Routing der gewünschten Ports auf diese erlaubt. Standardmässig lässt zb Openwrt nur DNS und ICMP Steuermeldungen in das eigene Heimnetz. Will man nun von draußen auf sein NAS, dann kommt man über einen IPv6 Verbindung auch dahin. Manche Anbieter von Onlinegames laufen auch bereits im Dualstack.

P.S. Mein Handy (LineageOS mit Congstar wie ich will) kriegt eine 2a01: Adresse wenn ich im APN von IPv4 auf Dualstack umschalte, würde mich nicht wundern wenn das schon etliche Anbieter so halten.

GrummelGrumpff
Member
Member
Beiträge: 78
Registriert: 22. Feb 2016 12:56

Re: DS-Lite und Prefix

Beitrag von GrummelGrumpff » 20. Jun 2017 23:39

Wie vergiebt man den jetzt fixe IPv6 Adressen unter OpenWRT ?
Generell dachte ich das die Adressen eigendlich gar nicht vergeben werden, sondern einfach selbst zugewiesen werden und diese wiederum mit der jeweiligen MAC-Adresse verknüpft sind.

Habe mir auch LEDE schon angesehen, aber für meinen Router gibt es nur ein Update per factory Image das dann alle Einstellungen verheizt. Vielleicht schafft es noch jemand mit sysupgrade und Übernahme aller Daten, denn so klein ist das Setup mit 2 WLan, QoS und einigen statischen Adressen nicht.
Ja geht mir genauso ich habe mittlerweile 12 interfaces und alle möglichen gebastelten scripte. Ich bin dazu übergegangen den ganzen /etc Ordner zu sichern und alle nur die paar Dateien welche ich nicht sichern möchte zu löschen.
Um welchen Router handelt es sich den und wo sind die vor und Nachteile, bzw der ungefähre Preis ?
Ich nutze für mein VDSL Anschluss die O2-Box 6431. Positiv ausgedrückt einer der vielseitigsten VDSL-Telefon-Router mit voller LEDE unterstützung und mit 6,-EUR (gebraucht) sicher auch einer mit dem besten Preis-Leistungs-Verhältniss.
Bösartig Ausgedrückt könnte man sagen: die Proletarier FritzBox kann abgesehen von DECT oder ISDN so ziemlich alles, nur eben nicht so schnell und nicht unbedingt gleichzeitig.

Benutzeravatar
MVillage68
Member
Member
Beiträge: 37
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

Re: DS-Lite und Prefix

Beitrag von MVillage68 » 21. Jun 2017 21:22

OpenWRT hat unten auf der Seite DHCP and DNS den Bereich für Static Leases. Es braucht aber auch den dhcpd6 und odhcpd damit die Rechner im Netz wissen das sie nicht SLAAC nutzen sollen, sondern den dhcpd6 zu befragen haben. Dann sieht das Static Lease Feld so aus, die exakte Syntax für IPv6 muss ich noch heraus finden.
download/file.php?mode=view&id=493

Vielleicht wird ja der UPNPD auch noch erweitert und tunnelt dann on Demand die Firewall für das exakte Ziel.

Momentan benutze ich einen TP-Link WDR4300, kein wirklich teures Gerät aber mit genug Rechenleistung und Speicher. Den TL-WR1043ND mit dem Gargoyle-OS habe ich auch noch liegen, aber die sträuben sich leider komplett gegen IPv6. Die FB hat sich durch die Bridge Firmware die sie nun bekam komplett transparent gemacht, wenn eines Tages echt mal DS-Lite kommt dann dürfte der Prefix 1:1 auf dem inneren Router ankommen :)
Dateianhänge
openwrt.jpg
openwrt.jpg (38.44 KiB) 1048 mal betrachtet

8AP3Vj47
Member
Member
Beiträge: 15
Registriert: 8. Nov 2016 11:20

Re: DS-Lite und Prefix

Beitrag von 8AP3Vj47 » 21. Jun 2017 22:53

Würde es nicht ausreichen, anstatt den DHCPv6-Kram zu nutzen, einfach die privacy extensions zu deaktivieren (und bei einigen Linuxen zusätzlich EUI-64 zur Adressgenerierung zu nutzen), um Geräten eine persistente Adresse (bzw. interface identifier) zu verpassen? Zumindest bei "meiner" Fritzbox reicht das, um Ports für v6 zu öffnen.
Aber andererseits, wenn man das bei mehr als 'ner handvoll Geräten machen muss, ist es wahrscheinlich doch einfacher DHCP zu nehmen ...

Benutzeravatar
MVillage68
Member
Member
Beiträge: 37
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

Re: DS-Lite und Prefix

Beitrag von MVillage68 » 25. Jun 2017 14:52

Hmm ja Linux würde anhand seiner MAC dann immer die gleiche IPv6 verwenden wollen, Windows dagegen (Game PC) würfelt jedesmal eine neue Adresse aus und man müsste die dann händisch pro Reboot im Router nachstellen. Der dhcpdv6 gibt dem Subnetz die Anweisung auf seine Zuteilung zu warten, das ist irgendwo doch einfacher. :)

Da DS-Lite beim Bridgemode wohl noch in der Mache ist, kann ich leider noch keine Versuche in diesem Bereich machen. Mal sehen wann das ansteht.

Grüße
MVillage68

cybershadow
Neuling
Neuling
Beiträge: 9
Registriert: 26. Jul 2017 22:48

Re: DS-Lite und Prefix

Beitrag von cybershadow » 10. Aug 2017 01:29

MVillage68 hat geschrieben:
25. Jun 2017 14:52
Hmm ja Linux würde anhand seiner MAC dann immer die gleiche IPv6 verwenden wollen, Windows dagegen (Game PC) würfelt jedesmal eine neue Adresse aus und man müsste die dann händisch pro Reboot im Router nachstellen.
Auch wenn der Thread schon was älter ist: Sowohl das Generieren des zufälligen statischen Interface Identifier, als auch die Privacy Extensions lassen sich über die PowerShell abschalten.

Ersteres mittels

Code: Alles auswählen

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
zweiteres mittels

Code: Alles auswählen

Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
Wobei beides eigentlich nicht nötig sein sollte. Der statische Interface Identifier wird meines Wissens einmalig bei der Installation pro Interface statt eines EUI-64-Identifiers vergeben und ändert sich danach nicht mehr.

Zur Verdeutlichung: Rot umrandet ist der statische Identifier, den Du im Router eintragen musst, grün ist der temporäre RFC-4941-Identifier, der für ausgehende Verbindungen verwendet wird.
IPv6.PNG
IPv6.PNG (21.24 KiB) 603 mal betrachtet

8AP3Vj47
Member
Member
Beiträge: 15
Registriert: 8. Nov 2016 11:20

Re: DS-Lite und Prefix

Beitrag von 8AP3Vj47 » 12. Aug 2017 23:07

cybershadow hat geschrieben:
10. Aug 2017 01:29
Wobei beides eigentlich nicht nötig sein sollte.
Ich weiß nicht, wie das bei anderen Routern oder neueren/besseren Fritzboxen ist, aber z.B. die 7360 kann Ports tatsächlich nur für die EUI-64-Adresse öffnen.
Was ziemlich unverständlich ist, zumal sie ja alle Adressen eines Gerätes kennt und in der IPv6-Heimnetzübersicht anzeigt.
Aber die Firewall scheint nur recht rudimentär “aktuelles Präfix + EUI-64 interface identifier; port so und so öffnen” zu beherrschen.

Ist natürlich ziemlich blöd für Geräte wie z.B. IPv6-fähige Spielekonsolen, die für optimalen Betrieb offene Ports brauchen, einen zufällig generierten persistenten identifier nutzen, und man letzteren nicht nach seinen Wünschen ändern kann.
Da kommt man schon in den Genuss eines IPv6-fähigen Anschlusses, und auch die Hardware kann’s, und trotzdem hakt es immer wieder an irgendeiner Stelle...

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder